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La presente invention concerne I'echange securise de donnees a 
travers un reseau reliant differents dispositifs et I'authentification de la source 
de donnees emises sur un reseau. 

5 Dans certains cas, il est necessaire pour un dispositif recepteur de 

donnees d'etre sQr que I'emetteur qui a diffuse les donnees etait bien autorise a 
le faire par un tiers de confiance sans que le recepteur des donnees ne 
connaisse I'identite de I'emetteur, les donnees etant egalement susceptibles 
d'etre relayees par un dispositif intermediaire. Or tous les schemas connus 
10 d'authentification d'un emetteur de donnees impliquent que le recepteur des 
donnees connaisse l'emetteur. 

Un but de I'invention est done de proposer une methode permettant 
a un emetteur de donnees de prouver qu'il etait bien autorise a emettre les 

15 donnees par un tiers de confiance sans que le recepteur des donnees ne 
connaisse I'identite de l'emetteur. < 

A cet effet, I'invention a pour objet un procede permettant de verifier 
que des donnees recues par un recepteur ont ete envoyees par un emetteur 
autorise par un tiers de confiance, l'emetteur et le recepteur etant raccordes a 

20 un reseau numerique. Selon I'invention, un identifiant est associe aux donnees 
envoyees par I'emetteur et le procede comprend les etapes consistant, pour le 
recepteur, a : '( 

- generer un nombre aleatoire ; 

- diffuser sur le reseau ledit nombre aleatoire ; 

25 - recevoir de I'emetteur une reponse calculee en appliquant une 

premiere fonction audit nombre aleatoire et audit identifiant ; et 

- verifier la reponse recue en appliquant une seconde fonction a la 
reponse regue, audit nombre aleatoire et audit identifiant ; 

la premiere fonction ayant ete au prealable delivree a I'emetteur par 
30 le tiers de confiance et la seconde fonction etant une fonction booleenne, liee a 
la premiere fonction, delivree au prealable par le tiers de confiance au 
recepteur. 

L'emetteur peut etre soit i'emetteur initial des donnees dans le 
reseau, soit un intermediaire entre l'emetteur initial et le recepteur des donnees 
35 qui a par exemple stocke les donnees emises par I'emetteur initial. 

L'identifiant associe aux donnees envoyees par l'emetteur est 
preferentiellement un nombre aleatoire genere par I'emetteur initial des 
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donnees dans le reseau et attache a ces donnees par I'emetteur initial. Bien 
entendu, cet identifiant ne donne aucune information sur Pidentite de I'emetteur. 

Selon le principe de I'invention, un tiers de confiance delivre a tous 
* Hes dispositifs-stisceptibles-d^etre des^metteursHnite 
5 un reseau, la premiere fonction permettant de calculer la reponse dans le cadre 
du precede ci-dessus. Le tiers de confiance delivre egalement a tous les 
dispositifs susceptibles d'etre des recepteurs dans le reseau, le seconde 
fonction permettant de verifier la reponse calculee a I'aide de la premiere 
fonction. 

10 

L'invention sera mieux comprise a la lecture de la description qui va 
suivre, donnee uniquement a titre d'exemple et faite en se referant a la figure 
unique (Fig. 1) qui represente un reseau numerique domestique dans lequel est 
mise en ceuvre I'invention. 

15 

Sur la base du principe de I'invention expose ci-dessus, plusieurs 
scenarios sont possibles. 

Selon un premier scenario, un premier emetteur, que nous 
appellerons Alice, et un second emetteur, que nous appellerons Charlie, 
20 diffusent des messages respectivement appeles Ma et M c sur un reseau auquel 
est raccorde un recepteur, que nous appellerons Bob. Alice diffuse avec le 
message M A un identifiant IdEventA qui identifie le message M A et Charlie 
diffuse avec le message M c un identifiant IdEventc qui identifie le message M c . 

Alice et Charlie qui sont tous deux raccordes au reseau regoivent 
25 respectivement les messages M c et M A emis par ['autre emetteur du reseau 
mais ils ne les conservent pas. Bob regoit egalement les deux messages et 
nous supposons qu'il ne souhaite conserver que le message Ma- Pour etre sur 
que M A provient d'une source autorisee par un tiers de confiance, Bob lance un 
protocole challenge/reponse de la maniere suivante. Bob genere un nombre 
30 aleatoire C (le challenge) puis il le diffuse sur le reseau. Alice et Charlie 
regoivent tous deux le challenge C. 

Au prealable, nous supposons que le tiers de confiance a delivre a 
Alice et Charlie une fonction G de calcul de reponse et a delivre a Bob une 
fonction H correspondante de verification de reponse. 
35 Lorsque Alice et Charlie regoivent le challenge C emis par Bob, ils 

caiculent respectivement des reponses R A et Rc comme suit : 
Alice : R A = G(ldEvent A , C) ; 
Charlie : R c = G(ldEvent Cl C) ; 
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puis ils envoient les r6ponses R A et R c a Bob. 

Bob verifie ensuite chaque reponse en calculant H(C, R x , ldEvent A ) 
pourX = A et C. Si tous les resultats retournes par la fonction H sont nuls, alors 
Bob ne conserve pas le message M A qui est considere comme ne prpvenant 
5 pas d'une source sure. Par contre, si au moins un resultat retourne par H est 
egal a 1 (dans I'exempie, ii s'agira de H(C, R A , ldEvent A )), alors Bob accepte le 
message M A car il est assure qu'il provient d'un emetteur autorise par le tiers de 
confiance. 

10 Selon un second scenario, un emetteur, Alice, diffuse un message 

M A accompagne d'un identifiant ldEvent A sur un reseau auquel est raccorde un 
recepteur Bob et une entite intermediaire, que nous appellerons Deborah. Nous 
supposons que Bob n'est pas interesse par le message M A et qu'il ne le 
conserve pas. Deborah par contre enregistre le message M A et son identifiant 

15 ldEvent A . 

Plus tard, alors qu'Alice ne diffuse plus de message, nous 
supposons que Deborah diffuse le message M A enregistre et son identifiant 
ldEventA sur le reseau. Alice etant seulement un emetteur ne conserve pas M A . 
Bob regoit M A et souhaite le conserves Pour s'assurer qu'il provient d'une 

20 source autorisee par un tiers de confiance, Bob lance un protocole 
challenge/reponse de la maniere suivante. Bob genere un nombre aleatoire C 
(le challenge) puis il le diffuse sur le reseau. 

Au prealable, nous supposons que le tiers de confiance a d^livre a 
Alice et Deborah une fonction G de calcul de reponse et a d^livre a Bob une 

25 fonction H correspondante de verification de reponse. 

Alice et Deborah regoivent le challenge C. Comme Alice n'est pas en 
train de diffuser un message, elle ne tient pas compte du challenge C. Deborah 
par contre calcule une reponse R D = G(ldEvent A , C) et envoie cette reponse a 
Bob. Bob verifie ensuite cette reponse en calculant H(C, R D , ldEvent A ). Si la 

30 fonction H retourne 0, alors Bob ne conserve pas le message M A . En revanche, 
si la fonction H retourne 1 , alors Bob accepte le message M A qui est considere 
comme provenaht d'une source autorisee. 

On notera que dans les deux scenarios exposes ci-dessus, ['entite 
35 recepteur Bob ne sait pas si le message qu'il regoit provient d'un emetteur 
(comme Alice) ou d'un intermediaire (comme Deborah) et surtout il ne connaTt 
pas I'identite du diffuseur du message M A . 
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Nous allons maintenant decrire un exemple plus concret de mise en 
ceuvre de invention en reference a la figure 1 ou sont representes un decodeur 
STB (de I'anglais « Set Top Box ») 1 t un recepteur de television numerique 

DW-^tte-Panglais- <H3igitar-Television->r) 2 ebun^ispositii^ x enregistrenrrent-SU"- 

5 (de Tanglais « Storage Unit ») 3. 

Nous supposons que les donnees diffusees sur ce reseau 
represented des programmes audiovisuels composes de flux elementaires 
Audio et Video transportes dans un flux de transport de donnees tel que defini 
dans la norme ISO/IEC 13818-1 « Information technology - Generic coding of 
1 0 moving pictures and associated audio information : Systems ». 

Le decodeur 1 represente un emetteur de donnees sur le reseau, il 
emet des donnees qu'il regoit par exemple d'une antenne satellite ou d'une 
connexion au cable. Le televiseur numerique 2 represente un recepteur de 
donnees sur le reseau. Le dispositif d'enregistrement 3 represente quant a lui 
15 un dispositif intermediate capable de rediffuser sur le reseau des donnees 
regues d'un autre dispositif emetteur du reseau. 

Ces trois dispositifs sont raccordes a un bus numerique 4, par 
exemple un bus selon la norme IEEE 1394, et forment ainsi un reseau 
domestique numerique. Les messages diffuses dans le reseau sont envoyes a 
20 travers le canal isochrone du bus 4 et les messages qui sont adresses sont 
envoyes a travers le canal asynchrone du bus 4. 

Le tiers de conflance qui delivre une fonction G de calcul de reponse 
a un protocole challenge/reponse aux dispositifs §metteurs ou intermediaires du 
reseau (dans notre exemple, le decodeur 1 et le dispositif d'enregistrement 3) et 
25 qui delivre une fonction H de verification de reponse aux dispositifs recepteurs 
du reseau (dans notre exemple le televiseur numerique 2) est par exemple le 
fabriquant des dispositifs. 

En ce qui concerne le choix des fonctions G et H, nous envisagerons 

30 trois modes de realisation. 

Selon un premier mode de realisation prefere, la fonction G est une 
fonction publique qui utilise une cl6 secrete K pour calculer une reponse R a 
partir d'un challenge C et d'un identifiant IdEvent (i.e. R = G K (C, IdEvent)). Pour 
garantir que les dispositifs emetteurs ou intermediaires sont des appareils 

35 conformes, autorises par le tiers de confiance, le secret K est insere dans ces 
dispositifs, dans une zone de stockage securisee qui ne doit plus etre 
accessible ulterieurement (par exemple dans un processeur s§curise, 
notamment inclus dans une carte & puce). 
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La fonction H est dans ce cas une fonction qui calcule une reponse 
R* a partir du challenge C et de I'identifiant IdEvent en appliquant la fonction G 
avec la cle secrete K et qui compare ensuite le resultat R' avec la reponse R 
recue. H est une fonction booleenne qui delivre une valeur nulle « 0 » si R' est 
5 different de R et qui delivre une valeur « 1 » si R' est egal a R. Dans ce cas, la 
cle secrete K doit aussi etre inseree au prealable par le tiers de confiance dans 
les dispositifs recepteurs. 

Une fonction G correspondant a la definition ci-dessus peut etre 
notamment une fonction de chiffrement telle que la fonction AES decrite 
10 notamment dans « FIPS 197: Specification of the Advanced Encryption 
Standard (AES) -26 novembre 2001 » disponible a I'adresse Internet suivante : 
http://csrc.nist.gov/publications/fips/fips197/fips-197.pdf. II peut egalement s'agir 
d'une fonction de hachage telle que la fonction HMAC-SHA1 decrite notamment 
dans «RFC 2104: HMAC : Keyed-Hashing for Message Authentication - 
15 Fevrier 1997 » disponible a I'adresse Internet suivante : 
http://www.ietf.org/rfc/rfc2104.txt, 

Dans un second mode de realisation, la fonction G est une fonction 
secrete qui est inseree dans les dispositifs emetteurs ou intermediaires 

20 consideres comme conformes et autorises par le tiers de confiance. 
Prefere'ntiellement, cette fonction doit etre choisie de maniere a etre tres 
difficilement retrouvee par I'analyse des produits qui la contiennent. De plus 
cette fonction doit etre resistante aux attaques a texte clair choisi adaptatives 
(plus connues sous le nom anglais de « adaptive chosen-plaintext attacks »). 

25 De meme que dans le premier mode de realisation, la fonction H est 

dans ce cas une fonction booleenne qui calcule une reponse R' a partir du 
challenge C et de I'identifiant IdEvent en appliquant la fonction G secrete et qui 
compare ensuite le resultat R' avec la reponse R recue, delivrant une valeur 
nulle « 0 » si R' est different de R et delivrant une valeur « 1 » si R' est egal a 

30 R. Dans ce mode de realisation, la fonction secrete G doit done aussi etre 
inseree au prealable par le tiers de confiance dans les dispositifs recepteurs. 

Dans un troisieme mode de realisation, les fonctions G et H sont des 
fonctions publiques utilisant une paire de cles asymetrique (cle privee/cle 
35 publique). La fonction G est par exemple une fonction de generation de 
signature a I'aide d'une cle privee et la fonction H est une fonction de 
verification de signature a I'aide d'une cle publique correspondante. 
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Nous utiliserons par exemple les fonctions de signature RSA 
(acronyme du nom des createurs Rivest, Shamir et Adleman) comme suit : 
R = G(C, IdEvent) = RSASign K pRiv(C, IdEvent) et 

- -^(6;-RTHdEvent)^^AWrifKP0B(e,- RrldEverrtfr ou-KPRI et KPUB-- 

5 sont la cle privee et la cle publique d'une meme paire de cle RSA. 

Dans ce cas, la cle privee est inseree dans les dispositifs emetteurs 
ou intermediates du reseau par le tiers de confiance et la cle publique est 
inseree dans les dispositifs recepteurs du reseau. 

10 Nous supposerons dans la suite que le premier mode de realisation 

a ete choisi dans lequel la fonction G est la fonction HMAC-SHA1 et qu'une cle 
secrete K est incluse dans une zone de stockage inviolable du decodeur STB 1 , 
du recepteur de television numerique DTV 2 et du dispositif d'enregistrement 
SU3. 

15 

Premier scenario : le STB transmet directement un programme au 

DTV 



Lorsque I'utilisateur du decodeur STB 1 selectionne un nouveau 
20 programme pour qu'il soit diffuse dans le reseau, le STB genere aleatoirement 
un identifiant de programme IdEvent, qui est preferentiellement un nombre de 
128 bits et il insere cet identifiant dans des messages contenus dans les 
paquets de transport des donnees representant le programme. Le flux de 
transport de donnees est ensuite diffuse sur le reseau (sur le canal isochrone 
25 du bus 4). II est regu par le televiseur numerique DTV 2 qui extrait des paquets 
de donnees recus les messages contenant I'identifiant pour recuperer cet 
identifiant IdEvent. 

Le DTV genere alors un challenge C, qui est preferentiellement un 
nombre aleatoire de 128 bits, et il diffuse ce challenge C sur le reseau. Lorsque 
30 le STB recoit le challenge C, il calcule la reponse : 
Rstb = HMAC-SHA1 K (C, IdEvent) 

et adresse cette reponse au DTV par le canal asynchrone du bus 4. 

Le dispositif d'enregistrement SU 3, qui regoit egalement le challenge 
C ne repond pas puisqu'il n'est pas en train de diffuser des donnees. 
35 Lorsque le DTV recoit la reponse Rstb du STB, il calcule : 

R DTV = HMAC-SHA1«(C, IdEvent) et compare ce resultat a la 
reponse Rstb recue. Si les deux valeurs sont les memes, alors le DTV 
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considere que le programme regu provient d'un emetteur autorise par le tiers de 
confiance. Sinon, le DTV n'affiche pas a l'utilisateur le programme regu. 

A la fin du protocole, le challenge C et Tidentifiant IdEvent sont 
effaces des memoires du STB et du DTV. 

5 

Second scenario : le STB transmet un programme qui est stocke par 
le SU qui le diffuse ulterieurement au DTV. 

Dans un premier temps, on suppose que l'utilisateur du STB 
10 selectionne un nouveau programme. Le STB genere alors un identifiant IdEvent 
comme dans le premier scenario ci-dessus et il insere cet identifiant dans des 
messages inclus dans les paquets de transport des donnees representant le 
programme avant de diffuser le flux de transport de donnees sur le reseau. 

Le SU enregistre ensuite le flux de donnees representant le 
15 programme. L'utilisateur a par exemple choisi de ne pas visualiser tout de suite 
le programme qui est diffuse par le decodeur et prefere Penregistrer pour le 
relire plus tard. 

Dans un deuxieme temps, l'utilisateur souhaite relire le programme 
enregistre. Le SU diffuse done le programme sur le reseau. Le DTV regoit les 
20 paquets de donnees et en extrait les messages contenant I'identifiant IdEvent. 

Le DTV genere ensuite un challenge C comme dans le premier 
scenario et il diffuse ce challenge sur le reseau. 

Le SU regoit ce challenge C, il calcule done la reponse : 
Rsu = HMAC-SHA1 K (C, IdEvent) 
25 et adresse cette reponse au DTV par le canal asynchrone du bus 4. 

Le STB qui n'est pas en train de diffuser des donnees ne repond pas 
au challenge C qu'il regoit egalement. 

Lorsque le DTV regoit la reponse R S u du SU, il calcule : 
Rdtv = HMAC-SHA1 K (C, IdEvent) et compare ce resultat a la 
30 reponse R S u regue. Si les deux valeurs sont les memes, alors le DTV considere 
que le programme regu provient d'un emetteur autorise par le tiers de 
confiance. Sinon, le DTV n'affiche pas a l'utilisateur le programme regu. 

On notera que lorsque le STB a termine de diffuser le programme 
dans le premier temps, il efface ensuite ['identifiant IdEvent de sa memoire. 
35 A la fin du protocole, le challenge C et I'identifiant IdEvent sont 

6galement effaces des memoires du SU et du DTV. 

Uinvention presente notamment les avantages suivants : 
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Meme si plusieurs dispositifs emetteurs ou intermediates sont 
raccordes au reseau, seul celui qui a ete autorise par le tiers de confiance et qui 
a emis les donnees est capable de repondre au protocole challenge/reponse 
Initie par lereceptBurdes-dortnees. - - - - - 

Le protocole ne divulgue aucune information concernant I'emetteur 
au recepteur. Ceci permet d'atteindre I'objectif d'une authentification anonyme 

du dispositif emetteur. 

Le protocole repose uniquement que la couche application et ne 
requiert aucune particularite au niveau de la couche transport des donnees. 
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REVENDICATIONS 

1 . Procede pour verifier que des donnees regues par un recepteur ( ) 
5 ont ete envoyees par un emetteur ( ) autorise par un tiers de confiance, 
I'emetteur et le recepteur etant raccordes a un reseau numerique, caracterise 
en ce qu'un identifiant (IdEvent) est associe aux donnees envoyees par 
I'emetteur et en ce que le procede comprend les etapes consistant, pour le 
recepteur () 7 a : 
10 . - generer un nombre aleatoire (C) ; 

- diffuseV sur le reseau ledit nombre aleatoire ; 

- recevoir de I'emetteur une reponse (R) calculee en appliquant une 
premiere fonction (G) audit nombre aleatoire (C) et audit identifiant (IdEvent) ; 

- verifier la reponse (R) recjue en appliquant une seconde fonction 
15 (H) a la reponse regue (R), audit nombre aleatoire (C) et audit identifiant 

(IdEvent); 

la premiere fonction (G) ayant ete au prealable delivree a Pernetteur 
par le tiers de confiance et la seconde fonction (H) etant une fonction 
booleenne, liee a la premiere fonction, delivree au pr§alable par le tiers de 
20 confiance au recepteur. 




Fig. 1 
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LE(S) DEIUIANDEUR(S) : 

THOMSON LICENSING S.A. 
46 Quai Alphonse Le Gallo 
92648 Boulogne cedex 
FRANCE 



DESIGNE(NT) EN TANT QU'INVENTEUR(S) : (Indiquez en haut a droite «Page N° S'ii y a plus de trois Inventeurs, 
utllisez un forma! aire identique et numerotez chaque page en indiquant le nombre total de pages). 



Nom 


DIEHL 


Prenoms 


Eric 


Adresse 


Rue 


La Buzardiere 


Code postal et ville 


35340 | Liffre | 


Societe d'appartenance (facultatij) 




Nom 


ANDREAUX 


Prenoms 


Jean-Pierre 


Adresse 


Rue 


20 rue de Lorgenil i 


Code postal et ville 


35000 | Rennes 


Societe d'appartenance (facidtatij) 




Nom 


DURAND 


Prenoms 


Alain 


Adresse 


Rue 


79, rue de Dinan 


Code postal et ville 


35000 [Rennes \ 


Societe d'appartenance (facultatij) 




DATE ET SIGNATURE(S) 
DU (DES) DEMANDEUR(S) 
OU DU MANDATAIRE 
(Nom et qualrte du signataire) 

BERTHIER Karine 
Mandataire 





La loi n°78-17 du 6 janvier 1978 relative a I'informatique, aux fichiers et aux Hbertes s'applique aux reponses faites a ce formulaire. 
Elle garantit un droit d'acces et de rectification pour les donnees vous concernant aupres de PINPI. 



This Page is Inserted by IFW Indexing and Scanning 
Operations and is not part of the Official Record 

BEST AVAILABLE IMAGES 

Defective images within this document are accurate representations of the original 
documents submitted by the applicant. 

Defects in the images include but are not limited to the items checked: 
-QTblack borders 

.✓QTimage cut off at top, bottom or sides 
"I^faded text or drawing 
^□"blurred or illegible text or drawing 



SKEWED/SLANTED IMAGES 

□ COLOR OR BLACK AND WHITE PHOTOGRAPHS 

□ GRAY SCALE DOCUMENTS 

□ LINES OR MARKS ON ORIGINAL DOCUMENT 
"IJrEFERENCE(S) OR EXHIBIT(S) SUBMITTED ARE POOR QUALITY 

□ OTHER: 

IMAGES ARE BEST AVAILABLE COPY. 
As rescanning these documents will not correct the image 
problems checked, please do not report these problems to 
the IFW Image Problem Mailbox. 



